Масштабна кібершпигунська операція, яку Google пов’язує з китайською групою UNC2814, стала показовим прикладом того, як зловмисники адаптують свої інструменти під сучасну хмарну інфраструктуру. Ключова особливість кампанії — використання Google Sheets API як центру керування (C2) бекдором GRIDTIDE, що дозволило роками маскувати шкідливий трафік під легітимні запити до хмарних сервісів.
UNC2814: цілеспрямований кібершпигунський тиск на телеком та державні структури
За публічною оцінкою Google Threat Intelligence Group та Mandiant, група UNC2814 з 2023 року системно атакувала телекомунікаційні компанії та державні організації в Африці, Азії, Північній і Південній Америці. Підтверджено компрометацію щонайменше 53 організацій у 42 країнах, ще в понад 20 державах зафіксовані індикатори можливої присутності зловмисників. Такий вибір цілей добре корелює з моделлю загроз, характерною для кібершпигунських операцій державного рівня: контроль над телеком-інфраструктурою дає змогу перехоплювати трафік, відстежувати комунікації й отримувати доступ до чутливих персональних та службових даних.
GRIDTIDE: бекдор на C з керуванням через Google Sheets API
Архітектура бекдора та використання Google Service Account
Центральним інструментом UNC2814 став бекдор GRIDTIDE, розроблений мовою C. Його унікальність полягає у використанні Google Sheets як повноцінного C2-сервера. Для автентифікації застосовувався Google Service Account із жорстко вшитим приватним ключем, після чого звичайна електронна таблиця фактично перетворювалася на панель керування зараженими хостами. Після запуску GRIDTIDE очищував вміст цільового аркуша, збирав детальну інформацію про систему (конфігурація, ОС, оточення) та записував її до комірки V1, формуючи «паспорт» скомпрометованого вузла.
Керівні команди зберігалися в комірці A1, яку бекдор регулярно опитував через Google Sheets API. Увесь обмін даними кодувався у форматі Base64, завдяки чому HTTP-запити виглядали як типова робота з хмарною таблицею. З погляду мережевого моніторингу це створювало ілюзію звичайного офісного трафіку до довіреного домену Google, що суттєво ускладнювало виявлення традиційними сигнатурними засобами захисту.
Функціонал GRIDTIDE та прихований канал ексфільтрації
Бекдор GRIDTIDE підтримував виконання довільних bash-команд, завантаження файлів на скомпрометований вузол і ексфільтрацію даних назад у хмарну таблицю. Результати команд, а також викрадені файли кодувалися й розміщувалися в діапазоні комірок A2–An. Якщо в A1 з’являлася нова інструкція, шкідлива програма виконувала її, а потім перезаписувала комірку рядком стану — це знижувало шанси випадкового виявлення активності під час поверхневого перегляду аркуша. За відсутності команд бекдор здійснював до 120 опитувань з інтервалом у 1 секунду, після чого переходив на рідші, випадково розподілені перевірки з інтервалом 5–10 хвилин, імітуючи фонові взаємодії з хмарою.
Тактики UNC2814: living-off-the-land, SSH та SoftEther VPN Bridge
Окрім власного бекдора, UNC2814 активно застосовувала підхід living-off-the-land — використання легітимних інструментів, уже наявних у системі (зокрема стандартних утиліт Linux), для розвідки, переміщення мережею та збору даних. Така тактика мінімізує кількість додаткових артефактів на диску, а отже, зменшує ймовірність виявлення засобами антивірусного захисту, які орієнтуються на файли стороннього походження. Для горизонтального переміщення всередині корпоративних мереж зловмисники покладалися переважно на SSH, а для закріплення — реєстрували свій код як системний сервіс.
У низці інцидентів оператори UNC2814 розгортали SoftEther VPN Bridge — VPN-рішення з відкритим вихідним кодом, яке вже неодноразово згадувалося у зв’язку з іншими китайськими кіберакторами. Такий VPN-міст дозволяє будувати стійкі приховані тунелі в інфраструктуру жертви, обходячи класичні засоби периметральної безпеки й ускладнюючи атрибуцію активності. Відомо, що принаймні в одному випадку GRIDTIDE було виявлено на хості, який обробляв персональні дані; прямих доказів успішного витоку не наводиться, однак сама присутність бекдора на подібних системах істотно підвищує регуляторні та репутаційні ризики.
Реакція Google та ключові уроки для захисту корпоративних мереж
У відповідь на кібершпигунську кампанію спеціалісти Google деактивували всі хмарні проєкти UNC2814, відкликали доступ до Google Sheets API, а пов’язані домени перевели в режим sinkhole — тобто перенаправили трафік на контрольовані аналітиками адреси для моніторингу залишкової активності та блокування подальшого керування зараженими машинами. Постраждалі організації були сповіщені й отримали пропозиції з підтримки в інцидент-реагуванні. Водночас Google очікує, що зловмисники спробують відновити інфраструктуру, можливо, переключившись на інші хмарні платформи або модифікувавши протоколи C2, що вимагає постійного оновлення моделей загроз та правил виявлення.
Організаціям, насамперед у секторах телекомунікацій та державного управління, доцільно переглянути політики доступу до хмарних сервісів, запровадити глибокий моніторинг вихідного трафіку (включно з TLS-метаданими), жорстко контролювати використання хмарних сервісних акаунтів і виявляти аномалії в роботі з API. Особливу увагу варто приділяти пошуку нетипових системних сервісів, аналізу SSH-активності, виявленню несанкціонованих VPN-тунелів (зокрема SoftEther) та поведінковому аналізу підозрілих звернень до Google, Microsoft та інших великих провайдерів. Інвестування в такі підходи, як виявлення C2 через Google Sheets та інші хмарні платформи, стає критичним фактором зниження ризиків кібершпигунства й захисту критично важливих даних.
